[ Android ] 翻譯:Eric Schmidt 說 Android 比 iPhone 更安全,他是對的嗎?

Title
(原文發表於 PTT.MobileComm 板)Eric Schmidt 說 Android 比 iPhone 安全,這個議題還是有人認真討論的。而不是貼個來自趨勢科技,連統計樣本從何處收集都不說就用想嚇人的口氣說 Android 的惡意程式突破一百萬的新聞。今年七月 Google 的 Android 產品開發 VP 才說 Google Play 的 app 數量突破一百萬而已,難道說整個 Google Play 都是惡意程式嗎?


不過我也不是直接說 Android 就真的比 iOS 安全。只是多提供一些資訊出來。先來兩個連結:CVE

Apple iPhone OS 歷年漏洞統計

Google Android 歷年漏洞統計

www.cvedetails.com 是非營利法人 MITRE 營運的漏洞統計網站,主要資料來源是美國國家漏洞資料庫(National Vulnerability Database)。

以下提供 Android Authority 一篇文章當參考。



來源:Android Authority
網址:http://www.androidauthority.com/android-more-secure-than-iphone-281248/
(以下為翻譯內容)
標題:Eric Schmidt 說 Android 比 iPhone 更安全,他是對的嗎?

在 Gartner Symposium/ITxpo 的問答座談會中,Google 前 CEO 暨執行董事 Eric Schmidt 宣稱 Android 比 iPhone(也就是 iOS)來的安全。而這也令在現場聆聽的技術人士們大笑,這可能不是 Schmidt 預期的。這位被 Gartner 分析師 David Willis 採訪的搜尋巨人的董事長以 Android 突破十億部裝置啟動這件事情表示 Android 在真實世界已承受考驗並足以證明其安全性。

接近採訪尾聲時,Willis 說「我聽到的是 Android 比 iPhone 還安全。」而 Schmidt 回答他「Android 非常安全。」

較多的技術用戶普遍認為 Android 並不安全。然而如果詢問一般使用者,他們並沒有感覺 Android 比 iOS 更安全或更不安全。現在最重要的是消除關於 Android 安全性的迷思,但同時!也要將 Android 的弱點開誠布公。

Android 使用 Linux kernel 做為核心,而 iOS 使用 Darwin kernel 做為核心(Darwin kernel 同時也是 Mac OS X 的核心,衍生自 NeXTSTEP 與 BSD)。事實上,所有的軟體都有安全漏洞。所有大型軟體公司包含 Google,Microsoft,Apple 與 Adobe 經常會針對他們產品的漏洞釋出修補程式。Google 非常頻繁的更新 Chrome 瀏覽器,甚至舉辦競賽,將高額的獎金給能破解 Chrome 安全系統的駭客們;或是像 Microsoft 每個月都會釋出 Windows 的修補程式等等。

一般來説,無論是 Linux kernel 或是 Darwin kernel,面對被駭客們發現的,能在未經授權下取得對系統限制區域存取能力的漏洞時,都是一樣的脆弱。曾被應用在所有 iOS 版本的各種越獄(jailbreaking,JB)技術都是基於作業系統的漏洞。而 Android 的系統漏洞則被用來取得 root 權限。雖然 Linux 與 Darwin 應該是所有臭蟲(bugs)都被發現了的成熟的系統,然而他們依然在成長與改變中,並不是不再變化了,因此他們永遠都會有安全漏洞。

現在從中央核心(即 kernel)往上移動一點到作業系統的其他地方看看,Google 下了很多功夫在增加安全檢查以及防止 app 與外來攻擊取得 OS 非授權的存取能力。Android 4.3 增加了五種新的安全機制,其中包含了 SELinux:一種於企業級 Linux 伺服器中必備的安全機制。

但並非只有 Android 4.3 做過修改。Google 近來把「掃描任何安裝的 app 並且主動隔離可能造成傷害的 app」功能從作業平台(這功能是從 Android 4.2 開始內建的)移動到 Google Play 上。這意味著 Android 2.3 以上使用者可以安心入睡了,Google 會自動隔離任何已知的惡意 app 使之不會安裝到他們手上的 Android 裝置。

接下來是真正的關鍵點。Android 並不會綁定只能從 Google Play 取得 app:不像 iOS 緊密的與 Apple App store 綁定。而且在 Android 上使用者可以自行設定是否允許安裝來自「未受信任的來源」的 app。雖然這個功能預設是不允許,但是在如中國與俄羅斯等第三方市集興盛的地方來説,這個功能是很重要的。然而這些第三方市集的 app 幾乎不需要等待批准就能上架,這使得心懷惡意的攻擊者可以輕易的透過這些市集散播惡意 app。如果沒有「驗證應用程式」這個服務,這些惡意程式不會受到任何阻礙即可進入裝置中。

關於 Android 的負面新聞很多內容都是來自於防毒公司如同口頭禪般的「每個月又新增了上千個 Android 的惡意軟體」。以非現實的感覺來説,這個恐懼是真的。但是實際上的情況,根據 Google 今年 10/3 的統計資料顯示,在所有被研究過的 Android app 中,僅有低於 0.001% 的 app 會帶給使用者傷害。(該份研究中,Google 透過「驗證應用程式」取得了 15 億次的檢驗資料,並且以此為研究基礎。詳情參考這裡)為了防止將來這種誇張的報導層出不窮,Google 計畫將這些資料與安全研究員們共享。

那麼,Android 真的有比 iPhone 安全嗎?如果從防禦技術如 SELinux,「驗證應用程式」,沙盒啟動,app 權限與 Nosuid(這是一種 Linux 安全機制,禁止程式啟動後修改啟動身份)等等的角度來説:答案也許為「是」。但是如果從允許使用者安裝來自「未受信任的來源」的 app 的角度來説:答案也許為「不是」。不過請記住,安裝來自「未受信任的來源」的 app 這個功能預設是禁止的。

那麼你認為呢?Eric Schmidt 說 Android 比 iOS 更安全是否過頭了?